Ad

#安全资讯 请火速排查！知名扩展程序 Nx Console 遭到供应链攻击 (就是导致 GitHub 被黑的源头)，在 36 分钟窗口期内被安装 6,000 次。Nx Console 的维护者在此前的 TanStack 供应链攻击中泄露凭证，黑客利用凭证向 VSCode 发布恶意扩展，GitHub 员工安装扩展后跟着被黑，建议使用 Nx Console 的开发者立即排查。查看详情：https://ourl.co/113007

昨天代码托管网站 GitHub 遭到黑客攻击并泄露约 3,800 个内部私有的源代码仓库，此次攻击源头则是 GitHub 员工安装的扩展程序携带恶意代码，恶意扩展迅速搜寻环境中的所有敏感凭证并利用这些凭证直接连接 GitHub 内部并开始窃取任何拥有权限的数据。

而这款携带恶意代码的扩展则是非常知名的 Nx Console，该扩展开发团队有 1 位维护者可以不经人工审批而直接向微软插件市场发布新版本，这名维护者则在此前的 TanStack 供应链攻击中被窃取凭证，黑客利用凭证劫持维护者账户并直接发布携带恶意代码的 Nx Console v18.95.0 版。

36 分钟内超过 6000 次安装：

最初开发团队调查时认为恶意扩展仅停留 36 分钟就被下架因此在窗口期内的安装应该不会很多，然而在事后分析发现，仅在窗口期内就有超过 6,000 次安装，GitHub 被黑的员工也是在这个窗口期内安装的，随后就造成大规模的数据泄露。

而其他在窗口期内安装该扩展程序的开发者很显然也已经被窃取数据，只不过可能很多开发者还不清楚自己的所有凭证已经被窃取，因此安装 Nx Console 的开发者都需要立即检查，建议是直接轮换所有关键凭证，轮换后检查各类凭证是否存在异常登录记录。

Nx Console 团队已经在 GitHub 上发布详细的删除恶意代码的方法和其他指南，这些恶意代码在 macOS 上还存在持久化问题，开发者可能需要按照指南仔细进行排查，如果仍然不放心甚至可能需要直接重置系统确保恶意代码被清理干净。

开发团队后续也会改进流程不再允许不经人工审批发布扩展程序新版本，这应该可以提高黑客通过窃取的凭证直接发布恶意扩展的难度，建议其他为 Visual Studio Code 发布扩展程序的开发者也遵循相同的流程提升安全性。

下面是攻击时间线：

UTC 时间 2026 年 05 月 19 日 12:30：黑客通过窃取的凭证向微软发布 18.95.0 版

UTC 时间 2026 年 05 月 19 日 12:36：开发团队收到新版本发布的邮件通知

UTC 时间 2026 年 05 月 19 日 12:47：开发团队立即在微软插件市场取消扩展发布

UTC 时间 2026 年 05 月 19 日 12:48：微软收到开发者请求后取消恶意版本的发布

OpenVSX 平台的恶意扩展被发现的比较晚，到 UTC 时间 2026 年 05 月 19 日 13:09 开发者才取消恶意版本的发布，因此 Nx Console 恶意版本在 VSCode 和 OpenVSX 平台实际存活时间为 36 分钟。

微软提供的数据显示在窗口期内安装恶意扩展的次数仅为 28 次，OpenVSX 平台提供的数据则显示安装次数为 41 次，然而 Nx Console 通过内部分析发现 VSCode 恶意版本激活量达 6,000 次，而其他平台包括 Cursor 等平台的激活量为 0，因此开发团队认为实际安装恶意扩展的开发者可能超过 6,000 名。

via GitHub